- Bedeutung
- Risiken durch Dritte
- Beispiele
- Cloud-Anbieter, IT-Dienstleister, Zulieferer
- Steuerung
- Bewertung, Verträge, Monitoring (TPRM-Lebenszyklus)
- Bezug zu NIS2
- Teil der Lieferkettensicherheit
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist Third Party Risk?
Third Party Risk (Drittparteien-Risiko) bezeichnet das konkrete Risiko, das durch jeden einzelnen externen Dienstleister, Partner oder Lieferanten entsteht. Während die Lieferkettensicherheit das übergeordnete Programm und die Supply Chain die Gesamtstruktur beschreibt, richtet Third Party Risk den Blick auf den Einzelfall: Wie groß ist das Risiko genau dieses einen Anbieters? Ein Sicherheitsvorfall oder Ausfall bei einem Dienstleister kann direkt zum eigenen Problem werden – etwa wenn sensible Daten dort liegen oder er per Fernzugriff in den eigenen Systemen arbeitet.
Warum es immer wichtiger wird
Unternehmen lagern immer mehr aus – Cloud, Software, IT-Betrieb, Fachprozesse. Damit wandert ein Teil des Risikos nach außen, ohne dass die Verantwortung dafür verschwindet. Wer die Kontrolle behalten will, muss seine Dienstleister kennen, ihr Sicherheitsniveau bewerten und die Beziehung über die gesamte Laufzeit hinweg im Blick behalten.
Third Party Risk steuern
In der Praxis folgt die Steuerung einem Lebenszyklus (Third Party Risk Management, TPRM) – von der Auswahl bis zur Beendigung der Zusammenarbeit:
- Bewerten: kritische Partner und ihr Sicherheitsniveau vor Vertragsschluss identifizieren und einstufen.
- Vertraglich absichern: Anforderungen festschreiben, bei Datenverarbeitung über einen AVV.
- Überwachen: laufend statt einmalig prüfen und bei Vertragsende Zugänge und Daten sauber zurückgeben oder löschen.
Konkret: Ein Online-Händler will einen neuen Zahlungsdienstleister anbinden. Vor der Freigabe füllt der Anbieter einen Sicherheitsfragebogen aus, legt ein aktuelles Zertifikat vor und akzeptiert eine 24-Stunden-Meldepflicht für Vorfälle. Erst danach wird der Vertrag geschlossen; der Status wird jedes Jahr erneut bewertet. So wird das Risiko dieses einen Dienstleisters bewusst entschieden statt unbemerkt eingegangen.
Third Party Risk und NIS2
NIS2 (in Kraft seit 06.12.2025) verlangt, diese Risiken aktiv zu steuern – als operativer Kern der Lieferkettensicherheit und eingebettet in das Risikomanagement. Wer Drittparteien-Risiken ignoriert, riskiert nicht nur Sicherheitsvorfälle, sondern auch Bußgelder von bis zu 10 Mio. EUR bzw. 2 % des Jahresumsatzes bei wesentlichen Einrichtungen.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555 (EUR-Lex)
Häufige Fragen
Was ist Third Party Risk?
Third Party Risk (Drittparteien-Risiko) ist das konkrete Risiko, das durch einen einzelnen externen Dienstleister, Partner oder Lieferanten entsteht. Es wird etwa dann real, wenn dieser Dienstleister sensible Daten verarbeitet oder per Fernzugriff in den eigenen Systemen arbeitet und dort kompromittiert wird. Anders als die übergeordnete Lieferkettensicherheit betrachtet Third Party Risk gezielt den Einzelfall: Wie groß ist das Risiko genau dieses einen Anbieters?
Wie steuert man Third Party Risk?
Third Party Risk wird entlang eines Lebenszyklus gesteuert, dem Third Party Risk Management (TPRM). Konkret bedeutet das: kritische Partner vor Vertragsschluss nach ihrem Sicherheitsniveau bewerten, Sicherheitsanforderungen vertraglich festschreiben (bei Datenverarbeitung über einen AVV), das Niveau laufend statt nur einmalig überwachen und bei Vertragsende sämtliche Zugänge und Daten sauber zurückgeben oder löschen.
Warum ist Third Party Risk für NIS2 relevant?
Die seit dem 06.12.2025 in Kraft befindliche NIS2-Richtlinie verpflichtet betroffene Einrichtungen ausdrücklich, Lieferketten- und Dienstleisterrisiken als operativen Teil ihrer Risikomanagementmaßnahmen zu steuern. Wer diese Drittparteien-Risiken ignoriert, riskiert nicht nur Sicherheitsvorfälle, sondern auch Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei wesentlichen Einrichtungen, bei wichtigen Einrichtungen bis zu 7 Mio. EUR oder 1,4 %.